泄密新手法 文件可隐藏於影像档中

近日在纽约举行的年度骇客大会H2K2中，骇客激进团体发表了一支Camera/Shy的免费自由软体，利用「影像处理手法」将机秘文件资料隐藏在gif影像档之中，再将gif影像档放在公开网站上供网友下载，或是以无关紧要的主旨透过e-mail传递一般图片的特殊手法，不但可轻易通过防火墙、入侵侦测，而且不会曝露身份，精诚公司呼吁企业必须密切注意此种新兴的资讯传递手法，尽快预防或阻绝资料泄密事件再次发生。

前一阵子喧腾一时的政府单位泄密案，以及企业机密资料泄漏事件，虽然引起政府相关单位及企业的关注，并开始注重资讯传递的管控(例如加强邮件检查、安全事件稽核与存取管控与稽核)，但Camera/Shy的免费自由软体是以开放的程式码型态公布，这种新型的泄秘手法，可能遭有心人士利用，作为非法散播机密档案的工具。

Camera/Shy的程式是由一个名为Hactivismo倡导线上隐私权的激进骇客团体於7月13日所发表；它运用了一项称之为LSB steganographic的技术来进行AES-256 bit加密。因为它的设计据称是为了纪念某一位中国异议人士，且主要目的是用来躲避稽核，因此可以将文字予以加密并隐身於一个普通的gif影像档。当这个档案被公布在网站後，任何人只需要利用浏览器点选影像档，便可以看到隐藏於影像档之内的资讯；制作这个影像档的人也可以进一步要求点选的人必须输入密码之後才能「分享」资讯，进而轻易地进行「安全、秘密」的资讯传递。

虽然这支程式还只是Beta版，但已经开始在一些热衷於线上隐私权的团体间秘密留传，如果该程式被不法者获得并做为犯罪工具後果将无法预料；除了资料可以毫无痕迹地进行传递，它还会自动「销毁」浏览器上的快取以及历史浏览记录，因此看过影像档的人也不会被发现。除此之外，Camera/Shy还可以轻易地将一整篇网页转译成gif档，或者在网页中自动搜寻是否含有加密过後的gif档；这样的功能如果被用於企业intranet、EIP或KM网站，难保企业或政府机关的机密资料不会被不法者所窃。更要紧的是，目前市面上所有安全防护工具包括：防火墙、入侵侦测、漏洞扫瞄、邮件内容检查等工具并没有办法针对这样的「影像处理手法」进行预防。

目前已知这个程式可以在Windows 95,98, ME, 2000, XP等作业平台上执行，并需要搭配IE使用。因为该程式公开程式码，因此未来很可能会有支援其他作业系统或不同语言的版本出现，甚至也有被包裹成其他不法应用程式的可能性。因此精诚公司呼吁企业及政府单位应该未雨绸缪及早因应并防止这一类新型犯罪手法的发生。

精诚公司表示，已针对Camera/Shy可能之不法滥用提供NetIQ公司的二大解决方案，除了可以藉由NetIQ Security Analyzer来检测现有资讯环境是否存有Camera/Shy之外，也可以运用NetIQ Security Manager即时阻止Camera/Shy的执行，达到有效终止与删除该有害程式之外，并经由严谨的档案权限控管，即时的发出警告与通知，做好有效的防范措施。

本文由 CTIMES 同意转载，原文链接:http://www.ctimes.com.tw/DispCols/cn/%E7%B2%BE%E8%AF%9A%E4%BF%A1%E6%81%AF/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/02071816192U.shtmll